Tredjepartshantering

Tredjepartshantering är den process genom vilken företag övervakar och hanterar interaktioner med alla externa parter som de har en relation med. Detta kan omfatta både avtalsenliga och icke-kontraktuella parter. Tredjepartsförvaltning bedrivs i första hand i syfte att bedöma det pågående beteende, prestation och risk som varje tredjepartsförhållande representerar för ett företag. Övervakningsområden inkluderar informationshantering för leverantörer och leverantörer, efterlevnad av företags- och socialt ansvar , leverantörsriskhantering , IT-leverantörsrisk, efterlevnad mot mutor/anti-korruption (ABAC), efterlevnad av informationssäkerhet ( infosec) , prestationsmätning och kontraktsriskhantering . Betydelsen av tredjepartshantering ökade 2013 när US Office of the Comptroller of the Currency föreskrev att alla reglerade banker måste hantera risken för alla sina tredje parter.

Utomstående

En "tredje part", enligt definitionen i OCC 2013–29 , är varje enhet som ett företag gör affärer med. Detta kan inkludera leverantörer, leverantörer , kontraktstillverkare , affärspartners och dotterbolag, mäklare, distributörer, återförsäljare och agenter. Tredje parter kan vara både "uppströms" (leverantörer och leverantörer) och "nedströms", (distributörer och återförsäljare) såväl som icke-kontraktuella parter.

Företag behöver inte bedriva kritisk verksamhet för att betraktas som en "tredje part"; ett städföretag som ansvarar för att underhålla ett företags kontorslokaler är en tredje part lika mycket som en primär leverantör av leverantörer. Den tredje partens roll eller storlek är inte lika viktig som förhållandets natur, det kritiska i dess aktiviteter, graden av åtkomst till känslig data eller egendom och ett företags ansvar för olämpliga handlingar från dess tredje parters sida. Ett städföretag med tillgång till en vd:s arkivskåp representerar en annan men ändå betydande risk jämfört med en leverantör som tillhandahåller en kritisk komponent till produktionslinjen.

En icke-kritisk tjänsteleverantör – till exempel en luftkonditioneringsentreprenör – som verkar i ett land med låg korruptionsrisk kan felaktigt betraktas som en låg risk. Men om den entreprenören har dålig cybersäkerhet och kan skicka fakturor till en kund elektroniskt över kundens brandvägg, kan detta innebära en hög cyberrisk för kundföretaget. Target Corporations dataintrång från december 2013, där cirka 70 miljoner Target-kunders kredit- och betalkortsinformation stals, belyser den cybersäkerhetsrisk som oskyldiga tredje parter utgör – även i lågriskländer som USA. Hackare utnyttjade en VVS -entreprenör med dålig cybersäkerhet som genomförde elektroniska betalningar med Target och därmed hade tillgång till bakom brandväggen .

På grund av trender mot specialisering och outsourcing, engagerar företag som i allt högre grad fokuserar på kärnkompetenser ett större antal tredje parter för att utföra nyckelfunktioner i sin affärsvärdekedja ; Tredjepartsaktivitet är vanligtvis ansvarig för att generera cirka 60 % av de totala intäkterna. Denna trend skapar ett större antal kritiska tredjepartsrelationer i hela ekonomin som – i fallet med företag med tiotusentals och till och med hundratusentals tredjepartsrelationer – kan bli besvärliga att övervaka och hantera manuellt.

förordning

På grund av regulatoriska krav är tredjepartshantering mest utbredd i finanssektorn. Användningen av tredje parts ledningssystem är mandat av Office of the Comptroller of the Currency för amerikanska nationella banker och federala sparföreningar. OCC-bulletinen 2013–29 förklarar ledningskraven från tredje part för finansiella institut. British Financial Conduct Authority (FCA) kräver, enligt SYSC 8.1 "Outsourcing Requirements", att kritiska funktioner som utförs av tredje part måste övervakas kontinuerligt.

Sjukvårdssektorn har också växande regulatoriska krav som kräver tredjepartshantering. HIPAA, Health Insurance Portability and Accountability Act , sätter standarden för att skydda privata patientdata. Det finns regler kring lagring och lagring av PHI, Protected Health Information som kan vara ännu mer värdefull än kreditkortsinformation. HITECH-lagen, som undertecknades 2009, kräver ökade integritets- och säkerhetsskyldigheter och utvidgar dessa skyldigheter till affärspartners.

Medan andra branscher inte är skyldiga enligt lag att ha tredjepartsledningssystem på plats, är de flesta icke-finansiella företag bundna av anti-mutor/anti-korruption (ABAC) och andra regleringar. Följaktligen hanterar många av dem sina tredje parter och har antagit tredjepartshanteringslösningar.

Tredjepartshanteringslösningar

Tredjepartshanteringslösningar är teknologier och system utformade för att automatisera prestandan för en eller flera tredjepartshanteringsprocesser eller -funktioner. Sådana lösningar är externt vända och utformade för att komplettera internt vända system och processer för styrning, risk och efterlevnad ( GRC ). De körs på både lokalt installerade och SaaS- levererade företagsplattformar.

Säkerhetsvärderingstjänster (SRS), prenumerationstjänster som "ger kontinuerlig, oberoende kvantitativ säkerhetsanalys och poängsättning för organisatoriska enheter," vinner också popularitet. Marknaden för SRS blir allt mer konkurrenskraftig eftersom leverantörer som BitSight och Panorays erbjuder företag att sammanställa olika riskfaktorer för att beräkna en kvantitativ poäng för jämförelse av leverantörer.

Hämtad från " https://en.wikipedia.org/w/index.php?title=Third-party_management&oldid=1044393974 "